Por lo tanto, he estado revisando varios sitios web que no manejan información confidencial, pero sí aceptan tokens de autenticación de usuario (es decir, puede crear cuentas con ellos y asociar un correo electrónico / nombre de usuario con una contraseña).
Específicamente, he estado verificando si implementan algún tipo de protección con respecto a estos tokens, y he encontrado un número inquietante de sitios que simplemente envían estos tokens como datos POST de texto simple.
Muchos sitios se cifran, a pesar de que no manejan información confidencial. Otros sitios de contenido equivalente no molestan.
He mencionado esto a los administradores de los sitios que encontré. Una política cambiada. Algunos no respondieron. Una vez usado el argumento de que muchos otros sitios no lo hacen, no debería preocuparse, y podría ser prohibitivamente costoso.
Obviamente, el argumento del 'efecto espectador' es horrible. Pero como no tengo los números, y el uso de SSL por defecto, ¿la implementación de esta característica básica de seguridad es realmente tan costosa?
O, más específicamente, su argumento fue que su sitio no era lo suficientemente grande como para que valiera la pena la inversión financiera. ¿Es este un argumento que tiene sentido?
- Y, no es estrictamente importante, pero tengo curiosidad -
¿Se ha investigado cuántas personas tienen cuidado con el uso de la contraseña? ¿Alguna vez alguien ha puesto un rastreador cerca de un wifi público y ha comprobado si esto podría ser un problema en la práctica para John Q. Public?
EDITAR: También, en relación con esa última pregunta, no estrictamente necesaria ... Para hacer un estudio concluyente sobre este tema y sacar conclusiones realistas, parece que alguien tendría que infringir una serie de leyes, incluso si eran muy cuidadosos en la forma en que manejaban los datos, y no los utilizaban para nada más que el resto. estudiar. ¿Existen actualmente vías para que este tipo de investigación pueda realizarse de manera legal, controlada y responsable?